Домашняя сеть, роутер на линуксе с dnsmasq, предоставляющем dhcp/dns. Настроил, работает, кроме одного момента — винда с какого то момента (или так было всегда? не помню уже) перестала понимать локальные имена просто так.
Выглядит как "nslookup cam" работает и ресолвит локальный ip, но "ping cam" не работает — не знает такого имени. Гугл говорит что это потому что виндовый ip стек ("ping" и вообще весь софт) очень нежный и требует FQDN, т.е. "ping cam." (точка в конце) работает, можно даже добавить "." как суффикс в настройках ipv4 в винде. В каждой винде. Надоедает.
Цирк становится забавнее, когда выясняется что проблема только с невиндовыми клиентами ("cam" — ip камера на линуксе). С именами виндовых машин в локалке точка не нужна, но это, надо полагать, уже не DNS, а всякое типа netbios или как там винда соседей отыскивает.
Можно что то подкрутить со стороны dnsmasq что винда была всегда счастлива без точки в конце? "dhcp-option=option:domain-search,." не сработал. Есть ли вообще что то в протоколе DHCP, что обрадовало бы винду?
Здравствуйте, aik, Вы писали:
aik>Домашняя сеть, роутер на линуксе с dnsmasq, предоставляющем dhcp/dns. Настроил, работает, кроме одного момента — винда с какого то момента (или так было всегда? не помню уже) перестала понимать локальные имена просто так.
Я не использую dnsmasq, но, ключевые слова для поиска:
Здравствуйте, Vetal_ca, Вы писали:
aik>>Домашняя сеть, роутер на линуксе с dnsmasq, предоставляющем dhcp/dns. Настроил, работает, кроме одного момента — винда с какого то момента (или так было всегда? не помню уже) перестала понимать локальные имена просто так. V_>Я не использую dnsmasq, но, ключевые слова для поиска:
а что используешь для достижения заданного эффекта?
V_>"domain-search", "dhcp-option", "domain-name"
Здравствуйте, aik, Вы писали:
aik>а что используешь для достижения заданного эффекта?
pfSense. В ачестве DNS в нем — Unbound
aik>искал, но ведь точка — это не домен.
Я назначаю поддомен из своего реально существующего доменного имени.
Например,
для домашнего раутера — lon.mydomain.com
Для московского — mos.mydomain.com
Точка завершает доменное имя, с которой авто-дополнения не будет. По хорошему, все FQDN надо заканчивать точкой
И т.п.
Эти имена прописываю в router domain. AFAIK, они поступают в DHCP сервер. Который раздает их через DHCP option, "domain-search"
Сейчас, например, чтобы войти в канадский сервер, router.lon.mydomain.com. Скажем, камера в Москве автоматом подставляется через cam10.mos.mydomain.com
Непосредственно, в московской сети все автоматом резолвится, и эта камера доступна как cam10, cam10.mos и cam10.mos.mydomain.com . Касательно точки к вопросу вверху, "cam10.mos.", с точкой работать не будет, т.к. подчеркивает, что "mos" — это TLD и авто-подстановки твоей domain (DHCP, domain search) не будет
Учитывая что я "смотрящий" за домашними сетями (Канада, Москва, Беларусь), везде использую FQDN, стараясь не использовать коротких имен. И короткое "ap1", будут разными WiFi в Москве, Беларуси и Канаде
Здравствуйте, Vetal_ca, Вы писали:
V_>Я назначаю поддомен из своего реально существующего доменного имени. V_>Например, V_>для домашнего раутера — lon.mydomain.com V_>Для московского — mos.mydomain.com V_>Точка завершает доменное имя, с которой авто-дополнения не будет. По хорошему, все FQDN надо заканчивать точкой V_>И т.п.
Здравствуйте, aik, Вы писали:
aik>а ты родственникам как именно vpn клиентов устанавливаешь? в идеале нужно что то простое как палка: качнул, даблклик, готово.
Я прямо в раутере, tinc. Это L2 сетевой уровень. Все раутеры с tinc соединяются с VPS, по исходящему соединению, router -> VPS. Таким образом, в домашнем раутере не нужно ни точки входа, ни белого IP. Работает и за провайдерким NAT
Далее, на раутере (и VPS) запущен FRR с BGP. Хотя раньше использовал OSPF. Он обеспечивает то, что все пути (под раутером и на VPS) распространяются повсюду внутри домашнх сетей
Дальше, на публичном DNS прописал NS Record. К примеру раньше,
NS <Private IP раутера — Mосква> mos.mydomain.com
NS <Private IP раутера — Канада> lon.mydomain.com
Так, если родственник зарегистрировался в Москве в WiFi с ID "iphone", этот айфон доступен в Канаде по iphone.mos.mydomain.com безо всяких телодвижений. DHCP раутера публикует запись в DNS
Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
Здравствуйте, Vetal_ca, Вы писали:
aik>>а ты родственникам как именно vpn клиентов устанавливаешь? в идеале нужно что то простое как палка: качнул, даблклик, готово. V_>Я прямо в раутере, tinc. Это L2 сетевой уровень. Все раутеры с tinc соединяются с VPS,
это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
V_>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
Здравствуйте, aik, Вы писали:
aik>это теперь все раутеры так умеют, или спецмодель? как ее родственники настраивали, или ты (по телефону или лично)?
берется любой PC. Я ставлю маломощные, вышедшие в тираж. В Москве у меня, например AMD C-60 прекрасно справляется. 3 провайдера, один — оптволокно. И ставится pfSense, с флешки, как любой другой дистрибутив
Можно или PC с несколько LAN. Или, 1 Ethernet и к нему Router on the stick. С VLAN свичем. Например, Netgear GS-105E
Т.е., один Ethernet (VLAN Trunk) к одному порту этого PC. Остальные, WAN, LAN, как настроишь. 5 портов, например, дадут 1 Trunk + 3 WAN + 1 LAN. Или 1 WAN + 3 LAN, все гибко
Настраивал лично, потом при визите подключал. Хотя, все настройки потом в одном XML файле. Но ставить все равно с флешки. И интерфейсы (LAN/WAN) надо указать
V_>>Да, по умолчанию DNS работает в полном рекурсивном режиме. Не используя ни DNS провайдера, ни публичные. DNS запрос идет самым правильным способом, начиная с TLD (root) и собирая запрос по DNS серверам. Это самый правильный режим, с точки зрения приватности и надежности. Да и запросы в частную сеть не покидают периметр VPN. Через внешние сервера приватные записи резолвится не будут
aik>это dns в твоих роутерах такой умный (следствие frr/bgp/...)? или это dns на vps, а роутеры просто его рекламируют локально?
pfSense идет с Unbound из коробки. И сразу в правильном режиме, все резолвится без связи с DNS провайдера или публичных (1.1.1.1, 8.8.8.8 и прочих)
FRR в три клика добавляется через GUI. Умеючи, там мало настроек для раутинга, минуты на 2-3. Указать neighbors, сеть для advertising и номер AS. Последнее это просто уникальный номер [64512 to 65535] который своим узлам назначаешь, точь-в-точь как private подсети назначаешь. И разрешить BGP по VPN в настройках firewall для сети Tinc VPN. В этом то и смысл этого раутинга. Указать самую базовую информацию. И, опа, все пути уже у тебя. А твои уже у соседей, без перекрестных перенастроек. Если один узловой VPS отключить, то его routes у всех пропадают в течение полминуты примерно. Так же и с пропадание раутера
Я, например, одному раутеру даю 172.25.8.0/24, его AS — 65008, другому — 172.25.9.0/24, его AS — 65009 и т.п.
Все уровни (транспорт — VPN), раутинг (BGP) и DNS, идут отдельно друг от друга, не связаны
VPN объединяет в сеть, так что все VPN Endpoinds в одной L2 сети (AKA Ethernet). А раутинг автоматом "наполняет" остальных информацией о своей сети через VPN
Здравствуйте, aik, Вы писали:
aik>Выглядит как "nslookup cam" работает и ресолвит локальный ip, но "ping cam" не работает — не знает такого имени. Гугл говорит что это потому что виндовый ip стек ("ping" и вообще весь софт) очень нежный и требует FQDN, т.е. "ping cam." (точка в конце) работает, можно даже добавить "." как суффикс в настройках ipv4 в винде. В каждой винде. Надоедает.
И правда. Но с доменами 2-го уровня работает без точки в конце. У меня вся домашняя сеть — .local, так что даже не сталкивался.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
